Implementación y operación de dominios de Active Directory configurados mediante nombres DNS de etiqueta única

Este artículo contiene información sobre la implementación y el funcionamiento de los dominios de Active Directory (AD) configurados mediante nombres DNS de etiqueta única.

Se aplica a:   Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows 10, versión 1809
Número KB original:   300684

Resumen

El deseo de quitar la configuración de dominio de etiqueta única es un motivo frecuente para cambiar el nombre de un dominio. La información de compatibilidad de aplicaciones de este artículo se aplica a todos los escenarios en los que puede considerar cambiar el nombre de un dominio.

Por los siguientes motivos, el procedimiento recomendado es crear nuevos dominios de Active Directory que tengan nombres DNS completos:

  • Los nombres DNS de etiqueta única no se pueden registrar mediante un registrador de Internet.

  • Los equipos cliente y los controladores de dominio que se unen a dominios de etiqueta única requieren una configuración adicional para registrar dinámicamente registros DNS en zonas DNS de etiqueta única.

  • Los equipos cliente y los controladores de dominio pueden requerir una configuración adicional para resolver consultas DNS en zonas DNS de etiqueta única.

  • Algunas aplicaciones basadas en servidor son incompatibles con nombres de dominio de etiqueta única. Es posible que la compatibilidad con aplicaciones no exista en la versión inicial de una aplicación o que la compatibilidad se pueda descartar en una versión futura.

  • La transición de un nombre de dominio DNS de etiqueta única a un nombre DNS completo no es trivial y consta de dos opciones. Migre usuarios, equipos, grupos y otros estados a un nuevo bosque. O bien, cambie el nombre de dominio del dominio existente. Algunas aplicaciones basadas en servidor son incompatibles con la característica de cambio de nombre de dominio que se admite en Windows Server 2003 y controladores de dominio más recientes. Estas incompatibilidades bloquean la característica de cambio de nombre de dominio o hacen que el uso de la característica de cambio de nombre de dominio sea más difícil al intentar cambiar el nombre dns de una sola etiqueta por un nombre de dominio completo.

  • El Asistente para la instalación de Active Directory (Dcpromo.exe) en Windows Server 2008 advierte de la creación de nuevos dominios con nombres DNS de etiqueta única. Dado que no hay motivos técnicos ni empresariales para crear nuevos dominios con nombres DNS de etiqueta única, el Asistente para la instalación de Active Directory en Windows Server 2008 R2 bloquea explícitamente la creación de dichos dominios.

Entre los ejemplos de aplicaciones incompatibles con el cambio de nombre de dominio se incluyen, entre otros, los siguientes productos:

  • Microsoft Exchange 2000 Server
  • Microsoft Exchange Server 2007
  • Microsoft Exchange Server 2010
  • Microsoft Exchange Server 2013
  • Microsoft Internet Security and Acceleration (ISA) Server 2004
  • Microsoft Live Communications Server 2005
  • Microsoft Operations Manager 2005
  • Microsoft SharePoint Portal Server 2003
  • Microsoft Systems Management Server (SMS) 2003
  • Microsoft Office Communications Server 2007
  • Microsoft Office Communications Server 2007 R2
  • Microsoft System Center Operations Manager 2007 SP1
  • Microsoft System Center Operations Manager 2007 R2
  • Microsoft Lync Server 2010
  • Microsoft Lync Server 2013

Más información

Los nombres de dominio de Active Directory recomendados constan de uno o más subdominios que se combinan con un dominio de nivel superior que está separado por un carácter de punto ("."). Los siguientes son algunos ejemplos:

  • contoso.com
  • corp.contoso.com

Los nombres de etiqueta única constan de una sola palabra como "contoso".

El dominio de nivel superior ocupa la etiqueta más a la derecha en un nombre de dominio. Entre los dominios de nivel superior comunes se incluyen los siguientes:

  • .com
  • .net
  • .org
  • Dominios de nivel superior (ccTLD) de código de país de dos letras, como .nz

Los nombres de dominio de Active Directory deben estar formados por dos o más etiquetas para el sistema operativo actual y futuro, así como para la confiabilidad y la experiencia de las aplicaciones.

Las consultas de dominio de nivel superior no válidas notificadas por el Comité asesor de seguridad y estabilidad de ICANN se pueden encontrar en Consultas de dominio de nivel superior no válidas en el nivel raíz del sistema de nombres de dominio.

Registro de nombres DNS con un registrador de Internet

Se recomienda registrar nombres DNS para los espacios de nombres DNS internos y externos más importantes con un registrador de Internet. Lo que incluye el dominio raíz del bosque de los bosques de Active Directory a menos que dichos nombres sean subdominios de nombres DNS registrados por el nombre de la organización (por ejemplo, el dominio raíz del bosque "corp.example.com" es un subdominio de un "example.com" interno. espacio de nombres). Al registrar los nombres DNS con un registrador de Internet, esto permite a los servidores DNS de Internet resolver su dominio ahora o en algún momento durante la vida del bosque de Active Directory. Además, este registro ayuda a evitar posibles colisiones de nombres por parte de otras organizaciones.

Posibles síntomas cuando los clientes no pueden registrar dinámicamente registros DNS en una zona de búsqueda directa de etiqueta única

Si usa un nombre DNS de etiqueta única en el entorno, es posible que los clientes no puedan registrar dinámicamente registros DNS en una zona de búsqueda directa de etiqueta única. Los síntomas específicos varían según la versión de Microsoft Windows que está instalado.

En la siguiente lista se describen los síntomas que pueden producirse:

  • Después de configurar Microsoft Windows para un único nombre de dominio de etiqueta, es posible que todos los servidores que tienen el rol de controlador de dominio no puedan registrar registros DNS. El registro del sistema del controlador de dominio puede registrar de forma coherente advertencias de NETLOGON 5781 similares al ejemplo siguiente:

    Nota

    El código de estado 0000232a se asigna al siguiente código de error:

    DNS_ERROR_RCODE_SERVER_FAILURE

  • Los siguientes códigos de estado y códigos de error adicionales pueden aparecer en archivos de registro como Netdiag.log:

    Código de error DNS: 0x0000251D = DNS_INFO_NO_RECORDS
    DNS_ERROR_RCODE_ERROR
    RCODE_SERVER_FAILURE

  • Windows equipos basados en aplicaciones que están configurados para actualizaciones dinámicas dns no se registrarán en un dominio de etiqueta única. Los eventos de advertencia similares a los siguientes ejemplos se registran en el registro del sistema del equipo:

Cómo habilitar a los Windows basados en aplicaciones para realizar consultas y actualizaciones dinámicas con zonas DNS de etiqueta única

De forma predeterminada, Windows no envía actualizaciones a dominios de nivel superior. Sin embargo, puede cambiar este comportamiento mediante uno de los métodos que se describen en esta sección. Use uno de los siguientes métodos para permitir que los Windows basados en una sola etiqueta realicen actualizaciones dinámicas en zonas DNS de etiqueta única.

Además, sin modificaciones, un miembro de dominio de Active Directory en un bosque que no contiene dominios con nombres DNS de etiqueta única no usa el servicio servidor DNS para buscar controladores de dominio en dominios que tienen nombres DNS de etiqueta única que están en otros bosques. Se produce un error en el acceso de cliente a los dominios que tienen nombres DNS de etiqueta única si la resolución de nombres NetBIOS no está configurada correctamente.

Método 1: Usar el Editor del Registro

  • Configuración del localizador de controladores de dominio para Windows XP Professional versiones posteriores de Windows

    Importante

    Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, vea How to back up and restore the Registry in Windows.

    En un equipo Windows, un miembro de dominio de Active Directory requiere una configuración adicional para admitir nombres DNS de etiqueta única para dominios. En concreto, el localizador de controladores de dominio en el miembro de dominio de Active Directory no usa el servicio de servidor DNS para localizar controladores de dominio en un dominio que tiene un nombre DNS de etiqueta única a menos que ese miembro de dominio de Active Directory esté unido a un bosque que contenga al menos un dominio y este dominio tenga un nombre DNS de etiqueta única.

    Para permitir que un miembro de dominio de Active Directory use DNS para localizar controladores de dominio en dominios con nombres DNS de etiqueta única que se encuentran en otros bosques, siga estos pasos:

    1. Seleccione Inicio, Ejecutar, escriba regedit y, a continuación, seleccione Aceptar.

    2. Busque y, a continuación, seleccione la siguiente subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    3. En el panel de detalles, busque la entrada AllowSingleLabelDnsDomain. Si la entrada AllowSingleLabelDnsDomain no existe, siga estos pasos:

      1. En el menú Editar, elija Nuevo y, a continuación, seleccione Valor DWORD.
      2. Escriba AllowSingleLabelDnsDomain como el nombre de la entrada y, a continuación, presione ENTRAR.
    4. Haga doble clic en la entrada AllowSingleLabelDnsDomain.

    5. En el cuadro Datos de valor, escriba 1 y, a continuación, seleccione Aceptar.

    6. Salga del Editor del Registro.

  • Configuración de cliente DNS

    Importante

    Esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. No obstante, pueden producirse problemas graves si modifica el registro de manera incorrecta. En consecuencia, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, cree una copia de seguridad del registro antes de modificarlo. Después, puede restaurar el registro si se produce un problema. Para obtener más información, vea How to back up and restore the Registry in Windows.

    Los miembros de dominio de Active Directory y los controladores de dominio que se encuentran en un dominio que tiene un nombre DNS de etiqueta única normalmente deben registrar dinámicamente registros DNS en una zona DNS de etiqueta única que coincida con el nombre DNS de ese dominio. Si un dominio raíz de bosque de Active Directory tiene un nombre DNS de etiqueta única, todos los controladores de dominio de ese bosque normalmente deben registrar dinámicamente registros DNS en una zona DNS de etiqueta única que coincida con el nombre DNS de la raíz del bosque.

    De forma predeterminada, Windows equipos cliente DNS basados en dns no intentan actualizaciones dinámicas de la zona raíz "." o de zonas DNS de etiqueta única. Para habilitar los Windows cliente DNS basados en una sola etiqueta para probar las actualizaciones dinámicas de una zona DNS de etiqueta única, siga estos pasos:

    1. Seleccione Inicio, Ejecutar, escriba regedit y, a continuación, seleccione Aceptar.

    2. Busque y, a continuación, seleccione la siguiente subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DnsCache\Parameters

    3. En el panel de detalles, busque la entrada UpdateTopLevelDomainZones. Si la entrada UpdateTopLevelDomainZones no existe, siga estos pasos:

      1. En el menú Editar, elija Nuevo y, a continuación, seleccione Valor DWORD.
      2. Escriba UpdateTopLevelDomainZones como el nombre de la entrada y, a continuación, presione ENTRAR.
    4. Haga doble clic en la entrada UpdateTopLevelDomainZones.

    5. En el cuadro Datos de valor, escriba 1 y, a continuación, seleccione Aceptar.

    6. Salga del Editor del Registro.

    Estos cambios de configuración deben aplicarse a todos los controladores de dominio y miembros de un dominio que tengan nombres DNS de etiqueta única. Si un dominio que tiene un nombre de dominio de etiqueta única es una raíz de bosque, estos cambios de configuración deben aplicarse a todos los controladores de dominio del bosque, a menos que las zonas independientes _msdcs. ForestName, _sites. ForestName, _tcp. ForestName y _udp. ForestName se delega desde la zona ForestName.

    Para que los cambios entren en vigor, reinicie los equipos donde cambió las entradas del Registro.

    Nota

    • Para Windows Server 2003 y versiones posteriores, la entrada UpdateTopLevelDomainZones se ha movido a la siguiente subclave del Registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient
    • En un controlador de dominio basado en Microsoft Windows 2000 SP4, el equipo mostrará el siguiente error de registro de nombres en el registro de eventos del sistema si la configuración UpdateTopLevelDomainZones no está habilitada:
    • En un Windows de dominio basado en 2000 SP4, debe reiniciar el equipo después de agregar la configuración UpdateTopLevelDomainZones.

Método 2: Usar directiva de grupo

Use la directiva de grupo para habilitar la directiva Actualizar zonas de dominio de nivel superior y la ubicación de los controladores de dominio que hospedan un dominio con una sola etiqueta directiva de nombre DNS, tal como se especifica en la tabla siguiente, debajo de la ubicación de carpeta en el contenedor de dominio raíz en Usuarios y equipos, o en todas las unidades organizativas (UNIDADES organizativas) que hospedan cuentas de equipo para equipos miembros, y para los controladores de dominio del dominio.

Directiva Ubicación de la carpeta
Actualizar zonas de dominio de nivel superior Configuración del equipo\Plantillas administrativas\Red\Cliente DNS
Ubicación de los controladores de dominio que hospedan un dominio con un solo nombre DNS de etiqueta Configuración del equipo\Plantillas administrativas\Sistema\Inicio de sesión neto\Registros DNS de localizador de DC

Nota

Estas directivas solo se admiten Windows equipos basados en Server 2003 y en Windows basados en XP.

Para habilitar estas directivas, siga estos pasos en el contenedor de dominio raíz:

  1. Seleccione Inicio, seleccione Ejecutar, escriba gpedit.msc y, a continuación, seleccione Aceptar.
  2. En Directiva de equipo local, expanda Configuración del equipo.
  3. Expanda Plantillas administrativas.
  4. Habilite la directiva Actualizar zonas de dominio de nivel superior. Para ello, siga estos pasos:
    1. Expanda Red.
    2. Seleccione Cliente DNS.
    3. En el panel de detalles, haga doble clic en Actualizar zonas de dominio de nivel superior.
    4. Seleccione Habilitado.
    5. Seleccione Aplicar y luego Aceptar.
  5. Habilitar la ubicación de los controladores de dominio que hospedan un dominio con una sola etiqueta directiva de nombre DNS. Para ello, siga estos pasos:
    1. Expanda Sistema.
    2. Expanda Net Logon.
    3. Seleccione Registros DNS de localizador de DC.
    4. En el panel de detalles, haga doble clic en Ubicación de los controladores de dominio que hospedan un dominio con un único nombre DNS de etiqueta.
    5. Seleccione Habilitado.
    6. Seleccione Aplicar y luego Aceptar.
  6. Salir de la directiva de grupo.

En Windows DNS basados en Server 2003 y versiones posteriores, asegúrese de que los servidores raíz no se crean de forma involuntarla.

En Windows servidores DNS basados en 2000, es posible que tenga que eliminar la zona raíz "." para que los registros DNS se declaren correctamente. La zona raíz se crea automáticamente cuando se instala el servicio de servidor DNS porque el servicio de servidor DNS no puede llegar a las sugerencias raíz. Este problema se corrigió en versiones posteriores de Windows.

El Asistente para DCpromo puede crear servidores raíz. Si existe la zona ".", se ha creado un servidor raíz. Para que la resolución de nombres funcione correctamente, es posible que tenga que quitar esta zona.

Configuración de directiva DNS nueva y modificada para Windows Server 2003 y versiones posteriores

  • La directiva Actualizar zonas de dominio de nivel superior

    Si se especifica esta directiva, crea una REG_DWORD UpdateTopLevelDomainZones entrada en la siguiente subclave del Registro: HKLM\Software\Policies\Microsoft\Windows NT\DNSClient
    Los siguientes son los valores de entrada de UpdateTopLevelDomainZones : - Habilitado (0x1). Una 0x1 significa que los equipos pueden intentar actualizar las zonas TopLevelDomain. Es decir, si la configuración está habilitada, los equipos a los que se aplica esta directiva envían actualizaciones dinámicas a cualquier zona autorizada para los registros de recursos que el equipo debe actualizar, excepto para la UpdateTopLevelDomainZones zona raíz. - Deshabilitado (0x0). Una 0x0 significa que los equipos no pueden intentar actualizar las zonas TopLevelDomain. Es decir, si esta configuración está deshabilitada, los equipos a los que se aplica esta directiva no envían actualizaciones dinámicas a la zona raíz o a las zonas de dominio de nivel superior que son relevantes para los registros de recursos que el equipo debe actualizar. Si esta configuración no está configurada, la directiva no se aplica a ningún equipo y los equipos usan su configuración local.

  • La directiva Registrar registros PTR

    Un nuevo valor posible, 0x2, de la REG_DWORD RegisterReverseLookup entrada se agregó en la siguiente subclave del Registro:
    HKLM\Software\Policies\Microsoft\Windows NT\DNSClient

    Los siguientes son los valores de entrada de RegisterReverseLookup : - 0x2. Registrarse solo si el registro "A" se realiza correctamente. Los equipos intentan implementar el registro de registros de recursos PTR solo si registraron correctamente los registros de recursos "A" correspondientes. - 0x1. Registrar. Los equipos intentan implementar el registro de registros de recursos PTR independientemente del éxito del registro de registros "A". - 0x0. No se registre. Los equipos nunca intentan implementar el registro de registros de recursos PTR.

Referencias